10 полезных советов для повышения безопасности вашего WordPress

10 полезных советов для повышения безопасности вашего WordPress

26 октября 2015

Десять простых, но очень полезных советов, которые повысят безопасность вашего сайта на Вордпресс.

20 новейших лендингов для Вордпресс 2018 года

WordPress — очень гибкая и простая в освоении CMS, на которой можно реализовать практически любую современную задачу. И это лишь две из десятков других причин ее столь высокой популярности. Нужно понимать, что популярность WordPress высока и в хакерских кругах. Поэтому, никогда не будет лишним обезопасить свой сайт. Тем более, для этого не так уж много и нужно — всего лишь несколько минут свободного времени.

Предлагаю ознакомиться с 10-ю простыми, но очень полезными советами для повышения безопасности вашего WordPress.

1. Никогда не используйте в качестве имени пользователя администратора дефолтное имя admin. Если по какой-то причине это произошло, просто создайте нового пользователя-администратора, а старого удалите. Перед его удалением WordPress вас спросит с каким пользователем связать публикации удаляемого пользователя.

2. Создавайте сложные длинные пароли с использованием букв, цифр и различных символов. По статистике, самые часто используемые пароли: «123456», «password», «12345678», «qwerty» и «123456789». Естественно, сайты с такими паролями долго не живут. Хорошо, если в ваш пароль будет не словарным словом, в нем будет не менее 15 символов, среди которых будут строчные, заглавные буквы, цифры и символы.

3. Используйте двухфакторную аутентификация. Например, с помощью плагина Rublon или любого другого — выбор достаточно широк. Двухфакторная аутентификация обеспечивает более надежную защиту от несанкционированного проникновения, и уже знакома многим пользователям, использующих интернет-банкинг, сервисы Google, iCloud, DropBox и т.п.

4. Обязательно отключите подсказки в форме авторизации WordPress. Ведь вы же и без подсказок знаете свой логин и пароль, даже если и допустите опечатку. А злоумышленнику эта информация лишь упростит задачу взлома. Для этого необходимо добавить несколько строк кода в файл functions.php.

function no_wordpress_errors(){
  return ‘Hello, world!’;
}
add_filter( 'login_errors', 'no_wordpress_errors' );

5. Используйте плагины только скачанные из официального репозитория WordPress. В крайнем случае, с известных проверенных ресурсов типа CodeCanyon, GitHub, и обязательно имеющие положительные отзывы пользователей. Никогда не устанавливайте взломанные плагины, скачанные с варезников. Конечно, если вам дорог ваш сайт.

6. Своевременно обновляйте WordPress, темы и плагины до актуальных версий. Разработчики регулярно выпускают обновления, в которых закрываются все обнаруженные уязвимости. Актуальные версии не только улучшают производительность и совместимость WordPress, но и существенно снижают вероятность взлома вашего сайта — это факт.

7. Держите ваш WordPress в чистоте. Никогда не храните неиспользуемые плагины и темы на сервере. В крайнем случае, архивируйте.

8. Отключите трэкбэки. Пользы от них мало, а вот неприятностей они вам обязательно принесут. Используя трэкбэки WordPress, злоумышленники могут генерировать с таких сайтов массовые запросы на сайт-жертву, вызывая тем самым масштабную DDoS-атаку. Просто зайдите в настройки обсуждений вашего WordPress и снимите галочку «Разрешить оповещения с других блогов (уведомления и обратные ссылки) на новые статьи».

9. Установите для всех файлов и директорий вашего сайта правильные права доступа. Для директорий — это 755, для файлов — 644. Следует знать, что давая файлу/директории разрешение на запись (или еще хуже полный доступ — 777), вы подвергаете свой сайт серьезной угрозе. Более подробно о правах вы можете узнать в Кодексе WordPress.

10. Запретите просмотр индекса каталогов вашего сайта. Очень часто криво сконфигурированный сервер при отсутствии в директории файлов index.php или index.html отображает список файлов директории. Этим могут воспользоваться злоумышленники. Чтобы этого избежать, добавьте в .htaccess строку:

Options All -Indexes

Кроме того, убедитесь что в директориях wp-content/themes и wp-content/plugins имеется пустой файл index.php.

Всё самое новое и интересное я публикую в своём Телеграм-канале. Подписывайтесь!

Иван Данилин
Автор: Иван Данилин

Практикующий веб-разработчик, специализируюсь на платформе Вордпресс.

Добавить комментарий

Лучшие премиум-темы для Вордпресс
Подробнее